Homepage » scuola » Analisi e gestione di file, cartelle e unità

    Analisi e gestione di file, cartelle e unità

    Abbiamo quasi finito con la nostra serie di Geek School sugli strumenti di SysInternals e oggi parleremo di tutte le utilità che ti aiutano a gestire file e cartelle: se stai trovando dati nascosti o cancellando in modo sicuro un file.

    NAVIGAZIONE SCOLASTICA
    1. Quali sono gli strumenti di SysInternals e come li usi?
    2. Capire Process Explorer
    3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
    4. Comprensione del monitor di processo
    5. Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
    6. Utilizzare Autoruns per gestire i processi di avvio e il malware
    7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
    8. Usare PsTools per controllare altri PC dalla riga di comando
    9. Analisi e gestione di file, cartelle e unità
    10. Avvolgimento e utilizzo degli strumenti insieme

    Ci sono alcune utilità nel toolkit che trattano tutti i tipi di cose che sono legate a file o cartelle o che trovano dati che non sapevi esistessero, e ce ne sono alcuni che sono un po 'stupidi. In ogni caso, li copriremo tutti.

    Gli strumenti più importanti relativi ai file nel kit da conoscere sono probabilmente le utility Sigcheck e Streams, ma sarebbe saggio leggerli attentamente tutti.

    Stream rileva e visualizza gli stream NTFS nascosti

    La maggior parte delle persone non conosce questa funzionalità, ma Windows ti consente di archiviare i dati all'interno di un compartimento nascosto nel file system chiamato flussi di dati alternativi. Questo funziona fondamentalmente aggiungendo due punti e una chiave univoca alla fine di un nome di file quando si interagisce con esso.

    Ad esempio, se volessi nascondere alcuni dati in un file, potresti fare qualcosa di simile echo Secret> filename.txt: hiddenstuff e anche se hai aperto quel file di testo nel Blocco note, non vedresti il ​​testo "Segreto" che hai aggiunto, e non ci sarebbe stato altro modo per sapere che era anche lì. In effetti, puoi fare quasi tutto ciò che vuoi usando questa tecnica. (Assicurati di leggere il nostro articolo sull'argomento per la spiegazione completa).

    Questa è anche la tecnica che consente a Windows di sapere magicamente che i file sono stati scaricati da Internet, nascondendo i dati all'interno del campo Zone.Identifier. In effetti, è possibile eliminare questo flusso di dati alternativo usando l'utility Stream.

    La sintassi è semplice: per vedere gli stream, digitare quanto segue al prompt:

    i flussi

    Puoi anche usare "streams * .exe" o qualcosa di simile per vedere tutti i file con dati di streaming nascosti, se ce ne sono. Il modo più veloce per vedere qualcosa è entrare nella directory dei download ed eseguirla lì.

    Per eliminare uno degli stream o molti di essi, puoi usare l'opzione -d:

    flussi -d

    Puoi anche usare l'opzione -s per andare in sottodirectory in modo ricorsivo.

    SigCheck analizza i file che non sono firmati digitalmente (come il malware)

    Questa utilità molto utile analizza le firme digitali dei file sul tuo sistema e ti dice se sono validi o mancanti di un certificato. Puoi anche usarlo per controllare i file contro VirusTotal dalla riga di comando, il che è conveniente, perché questo è il vero punto di questo strumento, è trovare malware.

    La sintassi normale e più utile consiste nell'aggiungere l'opzione -u, che riporta solo i problemi, e l'opzione -e, che controlla solo i file eseguibili. Quindi potresti eseguire qualcosa di simile per controllare la tua directory system32 e assicurarti che tutti i file siano firmati digitalmente. Qualsiasi altra cosa dovrebbe essere esaminata molto attentamente.

    sigcheck -e -u C: \ Windows \ System32

    Puoi anche usare l'opzione -v per un controllo aggiuntivo contro VirusTotal, ma dovrai usare l'opzione -vt la prima volta per accettare i loro termini e condizioni.

    sigcheck -v -vt

    SDelete elimina i file in modo sicuro

    Se sei il tipo paranoico, sarai felice di sapere che puoi cancellare in modo sicuro i file dalla riga di comando ogni volta che vuoi. Basta usare l'utilità sdelete per colpire il file con i protocolli di cancellazione conformi alla DoD. (Ovviamente la NSA probabilmente ha ancora una copia del tuo file). La sintassi è semplice:

    SDelete

    In alternativa puoi pulire lo spazio libero su un disco usando il sdelete -c opzione, che richiederà più tempo, ma è una buona opzione se hai dimenticato di usare sdelete per rimuovere il file in primo luogo.

    Contig Deframmenta uno o più singoli file

    Se si desidera deframmentare un solo file o un elenco di file, è possibile utilizzare l'utilità Contig per fare proprio questo. Certo, non hai davvero bisogno di deframmentare i file nelle moderne versioni di Windows che lo fanno automaticamente. E sì, se si utilizza un'unità a stato solido non si dovrebbe mai deframmentare né è necessario. Ma se assolutamente, in positivo, devi deframmentare un singolo file, questa è l'utilità per farlo. La sintassi è semplice:

    contig

    Se vuoi analizzare la frammentazione di un file senza effettivamente fare nulla, puoi usare l'opzione -a come mostrato di seguito:

    Vale la pena notare che anche se un file è frammentato, se il file è molto grande e viene suddiviso in pochi pezzi di grandi dimensioni, non otterrai sostanzialmente nulla dalla deframmentazione e avrai perso più tempo ad infastidirlo rispetto a quello che avresti salvato.

    mostra l'utilizzo del disco

    È sempre possibile fare clic con il pulsante destro del mouse su qualsiasi file o cartella in Esplora risorse e scegliere Proprietà oppure utilizzare la scorciatoia da tastiera ALT + INVIO per visualizzare le dimensioni di un file o di una cartella. Ma cosa succede se vuoi vedere quei dati dal prompt dei comandi? È qui che entra in gioco l'utilità du, ed è anche un po 'più accurata perché non conta i file simbolici collegati, e controlla anche i flussi di dati alternativi.

    L'opzione -n ​​controlla solo una singola cartella, senza ricorrere nelle sottodirectory, mentre l'opzione -v esegue la ricorrenza e mostra anche ogni directory mentre passa attraverso l'elenco, e l'opzione -l (n) controlla solo i livelli "n" in profondità. Come in, -l 2 controllerebbe in profondità 2 livelli.

    PendMoves visualizza i file in movimento al prossimo riavvio

    Ti sei mai chiesto perché le installazioni delle applicazioni ti fanno riavviare il tuo computer? Di solito la risposta è che vogliono spostare alcuni file che non possono essere spostati mentre Windows è in esecuzione, quindi usano una funzionalità integrata di Windows che gestisce lo spostamento o l'eliminazione di file al riavvio.

    L'unica cosa che devi fare è eseguire il comando, e produrrà i dati. Perché una copia di Process Explorer è pianificata per spostarsi nella cartella Windows al prossimo riavvio? Continuare a leggere.

    MoveFiles sposta i file di sistema al riavvio

    Questa utility utilizza la funzionalità integrata di Windows per pianificare lo spostamento, l'eliminazione o la ridenominazione di un file o di una directory in modo che si verifichi durante il successivo ciclo di riavvio, prima che Windows sia completamente caricato. La sintassi è davvero semplice:

    movefile

    Se si desidera eliminare un file, è possibile utilizzare una destinazione vuota utilizzando le virgolette, come movefile "". Come puoi vedere nello screenshot qui sotto, abbiamo usato il comando Movefile per pianificare una copia di Process Explorer da spostare nella directory di Windows per illustrare come funziona tutto.

    Giunzione crea collegamenti simbolici

    Windows supporta collegamenti simbolici per file e cartelle, in modo da poter avere più di un punto del percorso sullo stesso file per risparmiare spazio invece di avere più copie di un file. L'idea è simile alle scorciatoie, tranne che è a livello di file system e integrato in NTFS.

    L'utilità di junction ti consente di creare ed eliminare facilmente questi collegamenti. Puoi anche eliminarli usando giunzione -d .

    giunzione

    La realtà, tuttavia, è che Windows da quando Vista ha avuto la possibilità di creare collegamenti simbolici con il comando mklink, e si può anche usare quello.

    FindLinks trova collegamenti reali ai file

    Questa piccola utility trova tutti gli hard link che puntano a un file. Gli hard link sono diversi dai link simbolici in quanto l'eliminazione di un hard link non cancella il file se ci sono più collegamenti fisici a quel file, sembra solo cancellarlo finché non si eliminano tutti gli hard link. Una volta eliminato il collegamento fisso finale, il file verrà eliminato.

    Nota: questo potrebbe essere in realtà un modo interessante per assicurarsi che un determinato file non sia realmente cancellato da qualcuno che ha l'abitudine di cancellare i file. Basta creare un collegamento fisico a tutti i file che non vuoi che perdano.

    In ogni caso, puoi usare questo comando abbastanza facilmente:

    findlinks

    L'unico problema è che Windows 7 e 8 hanno un comando integrato che fa la stessa cosa. Usa questo invece:

    Lista di hardlink di fsutil

    Nota: È sempre meglio imparare a usare le cose incorporate quando possibile, perché non sai mai quando dovrai fare qualcosa sul computer di qualcun altro quando non hai il tuo toolkit.

    DiskView visualizza la struttura del disco

    Questa utility ti permette di vedere la struttura del tuo disco rigido in modo molto dettagliato, e puoi anche zoomare fino in fondo e scegliere un file da evidenziare nella lista, così puoi vedere dove si trova un determinato file sul disco, e anche vedere se è frammentato o no. Non è terribilmente utile per la maggior parte delle persone, ma si spera che tu abbia uno scenario in cui potresti aver bisogno di usarlo.

    Disk2vhd trasforma i PC in dischi rigidi virtuali

    Questa utility crea un clone del disco rigido del tuo computer mentre è in esecuzione e raggruppa tutto in un file Virtual Hard Drive che può essere utilizzato in una macchina virtuale. E lo fa mentre il PC è in esecuzione.

    Esatto, puoi creare una macchina virtuale del tuo disco rigido mentre il tuo computer è in esecuzione. Questo potrebbe anche essere molto utile per gli scenari in cui si desidera eseguire un'analisi forense di una macchina, ma sul proprio computer: è sufficiente creare un clone e quindi avviarlo come una macchina virtuale anziché.

    L'opzione per Vhdx indica a Disk2vhd di utilizzare il formato di file VHDX più recente invece del formato di file VHD, che presentava una serie di limitazioni. Per impostazione predefinita, Disk2vhd creerà file separati per ogni unità fisica, ma inserirà le partizioni nello stesso file. Se si pianifica semplicemente di allegare questo file VHD a un'altra macchina virtuale, o anche solo di montarlo su un normale computer Windows, è possibile deselezionare le partizioni che non sono necessarie nell'elenco. Se pensi di farne una macchina virtuale, dovresti lasciare tutto controllato.

    Il file di output VHD può essere effettivamente posizionato sulla stessa unità di cui si sta facendo una copia, ma consigliamo di utilizzare una seconda unità, se possibile, solo per rendere tutto più veloce.

    PageDefrag è Obsoleto

    Questa utility ti ha permesso di deframmentare i file di sistema durante l'avvio, ma poiché non funziona sulle versioni recenti di Windows, devi saltarlo.

    Sync Scrive i dati memorizzati nella cache sul disco

    Questa utility sincronizza semplicemente tutti i dati memorizzati nella cache sul disco per assicurarsi che tutte le modifiche ai file vengano scritte sull'unità e non memorizzate in qualche buffer. Ovviamente, dovresti usare l'opzione Rimozione sicura ogni volta se vuoi essere sicuro di non perdere i dati quando estrai una chiavetta USB.

    Disk Monitor ti mostra in tempo reale l'attività del disco rigido

    Questa utility mostra l'effettiva attività del disco rigido in tempo reale - settori, letture, scritture, la lunghezza dei dati, è tutto lì. L'unico problema è che non è terribilmente utile per la maggior parte delle persone.

    Quello che è un po 'più utile, forse, è il controllo del disco "Tray Disk Light" che puoi scegliere dal menu Opzioni. Una volta abilitata questa modalità, si sposterà nella barra delle applicazioni e lampeggerà in rosso per le scritture, verde per le letture, o resterà grigio quando non sta accadendo nulla.

    Se solo l'icona corrispondesse a Windows 8 un po 'meglio.

    VolumeID Modifica il numero di serie dell'unità

    Avete mai notato come ogni drive abbia un numero seriale che assomiglia a 064B-1E81 o qualcosa di altrettanto poco interessante? Se vuoi cambiare quel numero seriale in qualcosa di più divertente, puoi farlo usando l'utility VolumeID con questa sintassi:

    volumeid XXXX-XXXX

    Si noti che la sintassi richiede l'uso di caratteri esadecimali, quindi non è possibile digitare GEEK-1337 come abbiamo fatto, perché semplicemente non funzionerà.

    Prossima lezione

    Domani andremo a concludere la serie con uno sguardo ad alcune delle piccole utility che abbiamo perso, oltre ad alcune indicazioni sull'utilizzo di tutti gli strumenti insieme e su quando dovresti estrarre ogni strumento.